Belangrijke informatie voor onze klanten

Geachte klanten,

U hebt waarschijnlijk uit de dagbladpers vernomen dat het Bundesamt für Informationssicherheit (BSI) momenteel een nieuw waarschuwingsniveau afgeeft.
Volgens het BSI leidt de kritieke kwetsbaarheid (Log4Shell) in de veelgebruikte Java-bibliotheek Log4j tot een uiterst kritieke dreigingssituatie. Het BSI heeft daarom zijn bestaande waarschuwing voor cyberveiligheid opgewaardeerd tot waarschuwingsniveau rood. De reden voor deze beoordeling is het zeer wijdverspreide gebruik van het getroffen product en de daarmee gepaard gaande effecten op talloze andere producten.

Allereerst is het belangrijk op te merken dat de ZEISS Group dergelijke waarschuwingen zeer serieus neemt en dat de veiligheid van onze producten de hoogst mogelijke prioriteit heeft.

Wij willen u echter graag helpen met betrekking tot de waarschuwing van de BSI en uw begrijpelijke bezorgdheid op transparante wijze wegnemen.

Wat kunnen wij op dit moment over onze producten zeggen:

  • Het onderzoek, naar de mate waarin ZEISS producten worden beïnvloed door de fundamentele zorgen van de BSI in kwestie, wordt voortdurend uitgevoerd bij ZEISS, onafhankelijk van berichten uit de dagbladpers, zodat het altijd up-to-date is.
  • De huidige ZEISS IQS-toepassingen in het bijzonder zijn niet ontwikkeld op basis van Java en bevatten daarom geen componenten die onder de huidige veiligheidswaarschuwing van de BSI vallen.
    Natuurlijk zullen wij u zoals gebruikelijk op de hoogte houden als onderdeel van onze voortdurende beveiligingsanalyses.
  • Mocht u zelf beveiligingsproblemen constateren, dan verzoeken wij u ons daarvan zo spoedig mogelijk op de hoogte te stellen.

Voor de onderstaande producten (niet uitputtend) kunnen wij, na analyse, op basis van het advies van de BSI over de dreiging voor (CVE-2021-44228), uitsluiten dat er een risico in dit verband bestaat. De reden hiervoor is dat in de producten geen "Log4J" is geïmplementeerd.

Volgens de kennis waarover wij momenteel beschikken, bestaat er voor de huidige releases en de componenten van derden die zij bevatten geen bedreiging in verband met de door het BSI gegeven veiligheidswaarschuwing.

De geanalyseerde producten zijn de volgende:

ZEISS ACCTee Pro
ZEISS AirSaver
ZEISS BLADE PRO
ZEISS CALIGO
ZEISS CALYPSO
ZEISS CMM-OS
ZEISS CMM-OS NEO
ZEISS FixAssist CT
ZEISS GEAR PRO
ZEISS iDA
ZEISS License Management Tool
ZEISS MCC
ZEISS METROTOM OS
ZEISS NEO pixel
ZEISS NEO select
ZEISS PiWeb
ZEISS PiWeb Cloud
ZEISS REVERSE ENGINEERING
ZEISS Smart Services Dashboard
ZEISS Stylus System Creator
ZEISS TEMPAR
ZEISS ZAPHIRE
ZEISS ABIS Softwarepakete
ZEISS ABIS Planner
ZEISS Intact 1200 /1600 Software
ZEISS Colin 3D
ZEISS T-Scan Collect (Interface)
ZEISS HOLOS
VISIO7
ZEISS SES viewer
ZEISS NEO viewer
NZDI
ZEISS CMM Agent
ZEISS DeviceActivator
ZEISS Tracer Service

De C99-firmware die in de meetmachines wordt gebruikt, maakt geen gebruik van een Log4j-bibliotheek. Alle meetmachines waarin de firmware wordt gebruikt, worden derhalve niet getroffen door het veiligheidsgat.

Deze lijst is niet volledig en zal zo nodig worden uitgebreid na een overeenkomstige veiligheidsrelevante analyse.

Deze mededeling is gebaseerd op de stand van zaken op 12 januari 2022 om 12.00 uur.

Wij beantwoorden uw vragen graag met ons product support team (software -support .metrology .de @zeiss .com) en onze veiligheidsafdeling.